<div dir="ltr"><div><div><div><div>This line: <br><br>We have SELinux disabled on all of our servers, but we 
hadn't disabled this check in sssd.conf. So we enabled it in sssd.conf 
and everything worked fine.<br><br></div>Should read that we *disabled* selinux.<br><br></div>selinux_provider = none<br><br></div>Cheers<br></div>L.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
<br><div class="gmail_quote">On 15 July 2016 at 11:27, Lachlan Musicman <span dir="ltr"><<a href="mailto:datakid@gmail.com" target="_blank">datakid@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hey,<br><br></div>While hunting this sssd/hbac/AD user problem, I noticed in the selinux_child.log a lot of errors that look like this:<br><br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [get_seuser] (0x0020): Cannot query for galaxy<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [set_seuser] (0x0020): Cannot verify the SELinux user<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [main] (0x0020): Cannot set SELinux login context.<br>(Thu Jul 14 09:40:29 2016) [[sssd[selinux_child[5446]]]] [main] (0x0020): selinux_child failed!<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): selinux_child started.<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): context initialized<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0400): performing selinux operations<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/active//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [get_seuser] (0x0020): Cannot query for <a href="mailto:simpsonlachlan@petermac.org.au" target="_blank">simpsonlachlan@petermac.org.au</a><br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [set_seuser] (0x0020): Cannot verify the SELinux user<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0020): Cannot set SELinux login context.<br>(Thu Jul 14 10:21:32 2016) [[sssd[selinux_child[5504]]]] [main] (0x0020): selinux_child failed!<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): selinux_child started.<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): context initialized<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [main] (0x0400): performing selinux operations<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/active//seusers.final: 10):<br>ellul jason@petermac.org.au:unconfined_u:s0-s0:c0.c1023<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not parse seuser record<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not cache file database<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): could not enter read-only section<br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [get_seuser] (0x0020): Cannot query for madhamshettiwar <a href="mailto:piyu@petermac.org.au" target="_blank">piyu@petermac.org.au</a><br>(Thu Jul 14 10:37:14 2016) [[sssd[selinux_child[5585]]]] [libsemanage] (0x0020): expected character ':', but found 'j' (/etc/selinux/targeted/modules/tmp//seusers.final: 10):<br><br><br><br></div>We have SELinux disabled on all of our servers, but we hadn't disabled this check in sssd.conf. So we enabled it in sssd.conf and everything worked fine.<br><br></div>But it should be noted that this check seems to be failing on a space in the AD user names.<br><br></div>(I know, spaces in user names is weird, wrong and embarrassing, but it's not my department. A fantastic example of Technical Debt and why project planning and testing are best done before implementation.)<br><div><div><div><br></div><div>cheers<br></div><div>L.<br clear="all"></div><div><div><div><div><div data-smartmail="gmail_signature"><div dir="ltr"><div>------<br>The most dangerous phrase in the language is, "We've always done it this way."<br><br>- Grace Hopper<br></div></div></div></div>
</div></div></div></div></div></div>
</blockquote></div><br></div>